Vinnslusamningur (DPA)
Gerður samkvæmt 28. gr. reglugerðar (ESB) 2016/679 (GDPR) (heimild: gdpr-info.eu/art-28-gdpr)
Þjónusta sem um ræðir: SYAGA Audit -- öryggis- og regluvörsluúttekt á Microsoft 365, eingöngu lestraraðgangur
Útgáfa: 1.0 -- Dagsetning: 27. júní 2026 -- Gildistökudagur: 27. júní 2026
Auðkenning aðila
Vinnsluaðilinn:
SYAGA CONSULTING, einkahlutafélag (SARL) með 20.000 evra hlutafé, skráð í fyrirtækjaskrá (RCS) í Aix-en-Provence undir SIREN-númeri 518 489 471, stofnað 08.12.2009, í fyrirsvari fyrir framkvæmdastjóra sinn Sébastien Questier, með skráð heimilisfang að 2 Impasse Paul Langevin, 13110 Port-de-Bouc, útgefandi SYAGA Audit-þjónustunnar, hér eftir nefnt Vinnsluaðilinn.
OG
Ábyrgðaraðilinn: Viðskiptavinurinn sem hefur skráð sig fyrir SYAGA Audit-þjónustunni samkvæmt skilmálum (CGV) sem eru aðgengilegir á cgu.html, en tengiliðaupplýsingar hans eru þær sem gefnar voru upp við skráningu, hér eftir nefndur Ábyrgðaraðilinn.
Hér eftir nefndir saman Aðilarnir.
Formáli
Þessi vinnslusamningur (DPA) er gerður samkvæmt 28. gr. GDPR, sem kveður á um að vinnsla sem vinnsluaðili framkvæmir fyrir hönd ábyrgðaraðila skuli lúta samningi þar sem tilgreind eru efni, tímalengd, eðli og tilgangur vinnslunnar, tegund persónuupplýsinga, flokkar skráðra einstaklinga, sem og skyldur og réttindi ábyrgðaraðilans.
Þessi vinnslusamningur (DPA) er viðauki við almenna sölu- og þjónustuskilmála (CGV) SYAGA Audit (Aðalsamninginn). Ef ósamræmi er milli þessa DPA og Aðalsamningsins um atriði er varðar persónuvernd gildir þessi DPA. Ef ósamræmi er varðandi vernd persónuupplýsinga gengur þessi DPA framar skilmálunum (CGU).
Með því að skrá sig fyrir SYAGA Audit-þjónustunni samþykkir Viðskiptavinurinn skilmála þessa vinnslusamnings (DPA). Rafrænt samþykki telst samþykki DPA í samræmi við gildandi reglur um gerð samninga með rafrænum hætti.
1. grein -- Efni og grunnstefna þjónustunnar
Þessi vinnslusamningur (DPA) skilgreinir skilyrðin sem Vinnsluaðilinn skuldbindur sig til að vinna, fyrir hönd og samkvæmt skjalfestum fyrirmælum Ábyrgðaraðilans, þá vinnslu persónuupplýsinga sem nauðsynleg er til að veita SYAGA Audit-þjónustuna.
SYAGA Audit framkvæmir öryggis- og regluvörsluúttekt á Microsoft 365-umhverfi Ábyrgðaraðilans eingöngu með lestraraðgangi: Þjónustan skrifar, breytir eða eyðir aldrei neinum gögnum í þeim leigjanda sem er skoðaður.
Vinnsluaðilinn beitir zero-knowledge-stefnu: söfnun og dulnefnun fer fram í vafra Viðskiptavinarins (viðbót). Vinnsluaðilinn fær aldrei hrágögn leigjandans né Microsoft-aðgangstákn Viðskiptavinarins: aðeins dulnefnd fingraför. Táknuðum úttektarniðurstöðum er haldið í reikningi viðskiptavinarins svo hann geti opnað þær aftur, á meðan hann er virkur; þær eru aðeins settar í samhengi í ódulkóðuðu formi á tölvu Viðskiptavinarins.
2. grein -- Eðli, tilgangur og tímalengd vinnslu
2.1 Eðli aðgerðanna. Aðgerðirnar felast í: söfnun (lestri, lágmarksréttindum) í gegnum Microsoft API-viðmót, framkvæmd af vafraviðbót sem keyrir á tölvu Viðskiptavinarins; staðbundinni dulnefnun; greiningu Vinnsluaðilans á eingöngu dulnefndum fingraförum með hliðsjón af öryggisviðmiðum (ANSSI, tilmælum Microsoft, GDPR, NIS2); skilum í formi skýrslna sem eru settar í samhengi á tölvu Viðskiptavinarins.
2.2 Einkatilgangur. Tilgangurinn er að meta öryggis- og regluvörslustöðu Microsoft 365-leigjanda Ábyrgðaraðilans og útbúa tengdar úttektarskýrslur. Enginn annar tilgangur (markaðssókn, notendasniðgerð, endurnotkun í eigin þágu Vinnsluaðilans) er heimill.
2.3 Tímalengd. Vinnslan fer fram meðan Aðalsamningurinn er í gildi. Hrágögnum er eytt tafarlaust við afhendingu skýrslunnar.
3. grein -- Flokkar unninna persónuupplýsinga
Vinnsluaðilinn vinnur eftirfarandi gagnaflokka:
- Stillingargögn og öryggislýsigögn: leigjandastillingar, skilyrtar aðgangsstefnur, MFA-stillingar, stjórnendahlutverk og -heimildir, deilingarstillingar, virkjunarstaða öryggiseiginleika
- Auðkennis- og skrárlýsigögn: auðkenni reikninga (UPN), birtingarnöfn, hópaaðild, eiginleikar í skrá sem eiga við úttektina
- Annálar og lýsigögn öryggisatburða: innskráningarannálar, endurskoðunaratburðir, lýsigögn sem nauðsynleg eru til að meta eftirlitsþætti
Skýrar undanþágur. Vinnsluaðilinn vinnur ekki með innihald tölvupósta, skráa eða skjala. Aðeins lýsigögn og stillingargögn eru unnin.
Sérstakir gagnaflokkar. Vinnslan hefur ekki að markmiði vinnslu sérstakra gagnaflokka í skilningi 9. gr. GDPR. Ábyrgðaraðilinn skuldbindur sig til að stilla þjónustuna ekki á þann hátt að slík vinnsla eigi sér stað.
4. grein -- Flokkar skráðra einstaklinga
Skráðir einstaklingar eru eigendur reikninga og auðkenna innan Microsoft 365-leigjanda Ábyrgðaraðilans: starfsfólk, stjórnendur, kerfisstjórar, verktakar og gestir sem hafa reikning í þeirri skrá sem er skoðuð.
5. grein -- Skjalfest fyrirmæli Ábyrgðaraðilans
Vinnsluaðilinn vinnur gögnin eingöngu samkvæmt skjalfestum fyrirmælum Ábyrgðaraðilans (skv. 28.3.a gr. GDPR), þar með talið hvað varðar flutning til þriðja lands, nema skýlaus lagaskylda kveði á um annað (en þá skal hann tilkynna Ábyrgðaraðilanum um það fyrir vinnsluna, nema lög banni það).
Þessi vinnslusamningur (DPA), viðaukar hans og skilmálarnir (CGV) mynda upphafleg skjalfest fyrirmæli. Vinnsluaðilinn tilkynnir Ábyrgðaraðilanum tafarlaust ef hann telur að fyrirmæli feli í sér brot á GDPR (skv. síðustu málsgrein 28.3. gr. GDPR).
6. grein -- Trúnaður
Vinnsluaðilinn sér til þess að þeir einstaklingar sem hafa heimild til að vinna með gögnin skuldbindi sig til trúnaðar eða séu bundnir viðeigandi lagalegri trúnaðarskyldu (skv. 28.3.b gr. GDPR), og fái nauðsynlega þjálfun í persónuvernd. Þessi skuldbinding gildir áfram eftir starfslok og eftir að þessum DPA lýkur.
7. grein -- Öryggisráðstafanir (32. gr. GDPR) og samræmi við viðmið
Vinnsluaðilinn innleiðir viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggisstig í samræmi við áhættuna (skv. 32. gr. GDPR). Meðal ráðstafana sem eru í gildi eru:
- Zero-knowledge kerfi: söfnun og dulnefnun fer fram í vafra Viðskiptavinarins (viðbót); Vinnsluaðilinn fær aðeins dulnefnd fingraför; hrágögn leigjandans og Microsoft-táknið eru aldrei send til hans
- Lágmarksréttindi: tenging í gegnum OAuth Microsoft með þrengstu heimildum sem Microsoft býður fyrir hvert svið; Þjónustan skrifar aldrei, breytir aldrei né eyðir nokkru sinni neinum gögnum í þeim leigjanda sem er skoðaður
- Dulkóðun í flutningi: TLS 1.2/1.3 í öllum samskiptum; SPF, DKIM og DMARC virkjuð
- Microsoft-tákn: fer aldrei út úr vafra Viðskiptavinarins; Vinnsluaðilinn fær það aldrei né geymir það
- Hýsing í Frakklandi: OVH-innviðir (Frakklandi) reknir fyrir SYAGA CONSULTING
- Stjórnun aðgangs: meginregla um lágmarksréttindi; nafngreindar heimildir; regluleg endurskoðun
- Vörn gegn misnotkun: hámark 2 úttektir á dag fyrir hvern leigjanda; aðgerðir gegn DDoS-árásum
- Skráning atburða: rekjanleiki aðgangs að gögnum
- Reglulegar prófanir á virkni öryggisráðstafana
Samræmi við viðurkennd öryggisviðmið
Ofangreindar ráðstafanir eru hannaðar í samræmi við eftirfarandi viðmið. SYAGA gerir ekki tilkall til neinnar formlegrar vottunar á þessum viðmiðum ráðstafanirnar eru í samræmi við kröfur staðalsins ISO/IEC 27001, vottunarferli er hafið, en engin vottun hefur enn fengist; um er að ræða hagnýtt samræmi:
| Viðmið | Þýðing fyrir SYAGA Audit | Opinber heimild |
|---|---|---|
| GDPR (ESB) 2016/679 | Reglugerð sem gildir milliliðalaust. 32. gr.: tæknilegar og skipulagslegar ráðstafanir. Skammlíft kerfi = ráðstöfun til lágmörkunar í samræmi við 5.1.e gr. | eur-lex.europa.eu CELEX:32016R0679 |
| NIS2-tilskipun (ESB) 2022/2555 | Ráðstafanir til áhættustjórnunar í netöryggi (21. gr. NIS2): rekstrarsamfella, atvikastjórnun, netöryggi, dulkóðun. SYAGA Audit hjálpar viðskiptavinum að meta eigin NIS2-regluvörslu í M365-leigjanda sínum. Þar sem starfsmannafjöldi og velta SYAGA eru undir viðmiðunarmörkum mikilvægra aðila í skilningi tilskipunar (ESB) 2022/2555 (50 starfsmenn eða 10 milljónir evra), fellur SYAGA ekki undir gildissvið NIS2. SYAGA Audit hjálpar viðskiptavinum sínum engu að síður að meta regluvörslu sína gagnvart þessu viðmiði. | eur-lex.europa.eu CELEX:32022L2555 |
| DORA-reglugerð (ESB) 2022/2554 | Stafrænt rekstrarþol fyrir eftirlitsskyld fjármálafyrirtæki. SYAGA Audit getur hjálpað fjármálafyrirtækjum að skjalfesta DORA-stöðu sína í M365-leigjanda sínum. Þar sem SYAGA er ekki eftirlitsskylt fjármálafyrirtæki gildir DORA ekki milliliðalaust um SYAGA; samningsbundnar skyldur geta þó átt við í einstökum tilvikum fyrir viðskiptavini í fjármálageiranum sem falla undir DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Rammi fyrir stjórnkerfi upplýsingaöryggis: öryggisstefna, áhættustjórnun, aðgangsstýring, dulkóðun, skráning atburða. Ráðstafanir SYAGA Audit eru í samræmi við samsvarandi stýringar í ISO 27002. Ráðstafanir SYAGA Audit eru í samræmi við kröfur staðalsins ISO/IEC 27001, vottunarferli er hafið, en engin vottun hefur enn fengist. | iso.org/standard/27001 |
| Tilmæli ANSSI | Leiðbeiningar um upplýsingatæknihreinlæti, tilmæli um öryggi upplýsingakerfa. Ráðstafanir innblásnar af tilmælum ANSSI um reikningastjórnun, dulkóðun og skráningu atburða. SYAGA Audit metur M365-stillingar með hliðsjón af tilmælum ANSSI. | ssi.gouv.fr |
Nákvæm lýsing á tæknilegum og skipulagslegum ráðstöfunum er í viðauka 1.
8. grein -- Notkun undirvinnsluaðila
Ábyrgðaraðilinn heimilar Vinnsluaðilanum að nýta sér undirvinnsluaðila sem taldir eru upp í viðauka 2. Fyrir sérhvern nýjan undirvinnsluaðila eða skipti á slíkum tilkynnir Vinnsluaðilinn Ábyrgðaraðilanum skriflega a.m.k. þrjátíu (30) dögum áður en breytingin tekur gildi, og hefur Ábyrgðaraðilinn þrjátíu (30) daga frest til að andmæla af rökstuddum ástæðum er varða persónuvernd (skv. 28.2. og 28.4. gr. GDPR). Þessir frestir og verklag gilda nema aðilar semji sérstaklega um annað.
Vinnsluaðilinn krefst þess samningsbundið af undirvinnsluaðilum að þeir uppfylli sömu persónuverndarskyldur og kveðið er á um í þessum DPA (skv. 28.4. gr. GDPR) og ber áfram fulla ábyrgð gagnvart Ábyrgðaraðilanum á framkvæmd þeirra.
9. grein -- Aðstoð við Ábyrgðaraðilann
9.1 Réttindi skráðra einstaklinga (12.-22. gr. og 28.3.e gr. GDPR). Vinnsluaðilinn framsendir tafarlaust til Ábyrgðaraðilans sérhverja beiðni um beitingu réttinda sem berst beint frá skráðum einstaklingi og aðstoðar við að svara henni.
9.2 Öryggi og áhrifamat (DPIA) (32.-36. gr. og 28.3.f gr. GDPR). Vinnsluaðilinn aðstoðar Ábyrgðaraðilann við öryggi vinnslunnar, gerð áhrifamats á persónuvernd (DPIA) ef þörf krefur, og samráð við CNIL fyrir fram ef við á.
9.3 Öryggisbrot á gögnum (33. og 34. gr. GDPR). Vinnsluaðilinn tilkynnir Ábyrgðaraðilanum um sérhvert öryggisbrot innan fjörutíu og átta (48) klukkustunda frá því hann fékk vitneskju um það, eins fljótt og unnt er, þannig að Ábyrgðaraðilinn geti staðið við 72 klukkustunda frestinn sem kveðið er á um í 33. gr. GDPR, og lætur í té upplýsingar sem nýtast við hugsanlega tilkynningu.
10. grein -- Örlög gagna við lok samnings
Við lok þessa vinnslusamnings (DPA) skal Vinnsluaðilinn, innan þrjátíu (30) daga frá lokum samningsins, fara eftir vali Ábyrgðaraðilans sem tilkynnt er skriflega (skv. 28.3.g gr. GDPR):
Athugasemd: vegna skammlífs kerfis þjónustunnar er engum úttektargögnum haldið eftir að þjónustunni lýkur; aðeins reikningsgögn eru geymd í samræmi við lagaskyldu (10 ár).
- annaðhvort skil til Ábyrgðaraðilans á þeim persónuupplýsingum sem unnar voru, í skipulögðu sniði (JSON eða CSV eftir því sem tiltækt er);
- eða örugga eyðingu allra gagna, þ.m.t. afrit, nema lagaskylda um varðveislu kveði á um annað.
Í samræmi við skammlíft kerfi þjónustunnar er hrágögnum úttektarinnar þegar eytt við afhendingu skýrslunnar. Vinnsluaðilinn lætur, ef óskað er, í té staðfestingu á eyðingu.
11. grein -- Úttektir og eftirlit
Vinnsluaðilinn veitir Ábyrgðaraðilanum allar nauðsynlegar upplýsingar til að sýna fram á að skyldum 28. gr. GDPR sé fullnægt, og gerir kleift að framkvæma úttektir, þ.m.t. vettvangsskoðanir (skv. 28.3.h gr. GDPR).
Úttektir eru háðar eftirfarandi skilyrðum: skrifleg tilkynning með a.m.k. þrjátíu (30) virkra daga fyrirvara, framkvæmd á venjulegum vinnutíma, hámarkstíðni ein (1) úttekt á hverju tólf (12) mánaða tímabili nema í undantekningartilvikum (t.d. staðfest öryggisatvik), kostnaður greiddur af Ábyrgðaraðila, trúnaður um þær upplýsingar sem fást.
12. grein -- Gagnaflutningur utan Evrópusambandsins
12.1 Aðalstaðsetning. Gögnin eru unnin og hýst í Frakklandi. SYAGA CONSULTING er félag stofnað samkvæmt frönskum lögum. Ekki er unnt að útiloka óbeina áhættu vegna bandaríska CLOUD-laganna í gegnum þriðju aðila birgja; SYAGA takmarkar þessa áhættu með hýsingu í Frakklandi (OVH SAS) og umfram allt með dulnefnun: þjónustan fær aðeins tákn, aldrei gögnin þín í ódulkóðuðu formi.
12.2 Notkun Microsoft. Ábyrgðaraðilinn viðurkennir að Microsoft Graph API-viðmótið er rekið af Microsoft Corporation (Bandaríkjunum). Flutningur gagna sem tengist Microsoft er tryggður með stöðluðum samningsákvæðum sem framkvæmdastjórn Evrópusambandsins hefur samþykkt og, eftir atvikum, EU-U.S. Data Privacy Framework. Gögnin sem eru skoðuð eru gögn úr eigin Microsoft 365-leigjanda Viðskiptavinarins, skoðuð eingöngu með lestri fyrir hans hönd í gegnum Microsoft Graph. Microsoft kemur fram sem birgir Viðskiptavinarins; SYAGA er ekki undirvinnsluaðili þess.
12.3 Almennar tryggingar. Sérhver gagnaflutningur utan ESB sem Vinnsluaðilinn eða undirvinnsluaðili annast er háður því að beitt sé gildri aðferð í skilningi V. kafla GDPR (fullnægjandi ákvörðun, staðlaðir samningsskilmálar eða önnur viðeigandi trygging).
13. grein -- Tengiliður vegna persónuverndar
Vinnsluaðili (SYAGA CONSULTING): tengiliður vegna persónuverndar -- contact@syaga.fr. Ekki er skylt að tilnefna persónuverndarfulltrúa í skilningi 37. gr. GDPR; ábyrgur fyrir persónuvernd er framkvæmdastjórinn, Sébastien Questier, sem er tengiliður fyrir öll erindi er varða persónuupplýsingar.
Ábyrgðaraðili: tengiliður vegna GDPR sem Viðskiptavinurinn tilnefnir samkvæmt eigin skyldum.
14. grein -- Tímalengd, breytingar og gildandi lög
Þessi vinnslusamningur (DPA) tekur gildi við skráningu fyrir SYAGA Audit-þjónustuna og gildir svo lengi sem vinnslan fyrir hönd Ábyrgðaraðilans varir.
Sérhver veruleg breyting er tilkynnt Ábyrgðaraðilanum fyrir fram. Áframhaldandi notkun þjónustunnar eftir tilkynningarfrestinn telst samþykki á breytingunum. Þetta breytingarfyrirkomulag er í samræmi við kröfur 28. gr. GDPR um vinnslusamninga.
Þessi vinnslusamningur (DPA) lýtur frönskum lögum. Sérhver ágreiningur fellur undir lögsögu dómstóla í lögsagnarumdæmi Aix-en-Provence, með fyrirvara um reglur allsherjarreglu sem gilda um landamæraágreining.
Viðauki 1 -- Nákvæm lýsing á vinnslunni og öryggisráðstöfunum (32. gr. GDPR)
| Stilling | Lýsing |
|---|---|
| Tilgangur | Öryggis- og regluvörsluúttekt á M365 -- gerð skýrslna |
| Gagnaflokkar | Stillingarlýsigögn, auðkennislýsigögn (UPN, nöfn), öryggisannálar |
| Sérstakir gagnaflokkar (9. gr.) | Engin |
| Skráðir einstaklingar | Reikningar og auðkenni í Microsoft 365-leigjanda Viðskiptavinarins |
| Varðveisla á netþjóni | Hrágögn leigjandans: aldrei send (dulnefnun fer fram í vafranum). Táknaðar niðurstöður: geymdar í reikningi viðskiptavinarins á meðan hann er virkur. |
| Vinnslustaður | Frakkland (innviðir SYAGA CONSULTING) |
| Dulkóðun í flutningi | TLS 1.2/1.3 -- öll samskipti; SPF/DKIM/DMARC |
| Microsoft-tákn | Fer aldrei út úr vafra Viðskiptavinarins; Vinnsluaðilinn fær það aldrei |
| Kerfisarkitektúr | Söfnun og dulnefnun fer fram með viðbót í vafra Viðskiptavinarins; Vinnsluaðilinn greinir aðeins fingraför |
| Stjórnun aðgangs | Meginregla um lágmarksréttindi; nafngreindar heimildir |
| Vörn gegn misnotkun | Hámark 2 úttektir á dag fyrir hvern leigjanda; vörn gegn DDoS-árásum |
| Skráning atburða | Lágmarks tæknilegir rekstrar- og öryggisannálar, án persónulegra úttektargagna, geymdir í um það bil 12 mánuði í samræmi við tilmæli CNIL. |
| Samræmi við öryggisviðmið | Ráðstafanir í samræmi við 32. gr. GDPR, ISO/IEC 27001 (vottunarferli er hafið, en engin vottun hefur enn fengist), tilmæli ANSSI. |
Viðauki 2 -- Listi yfir heimilaða undirvinnsluaðila
| Undirvinnsluaðili | Þjónusta | Staðsetning | Tryggingar fyrir flutning |
|---|---|---|---|
| Microsoft Corporation | Microsoft Graph API -- lestraraðgangur að stillingargögnum leigjandans | ESB + Bandaríkin (innviðir Microsoft) | Microsoft kemur fram sem birgir Viðskiptavinarins (ekki undirvinnsluaðili SYAGA). Gagnaflutningur er tryggður með stöðluðum samningsákvæðum ESB og þátttöku Microsoft í EU-U.S. Data Privacy Framework. |
| OVH SAS (hýsing, Roubaix, Frakklandi) | Hýsing SYAGA Audit-kerfisins | Frakkland | Á ekki við (ESB) |
| Stripe Inc. | Greiðsla -- aðeins reikningsgögn Viðskiptavinarins (utan gagna leigjandans) | Bandaríkin / ESB | EU-U.S. Data Privacy Framework (Stripe vottað) og, til vara, staðlaðir samningsskilmálar ESB (2021) -- Data Transfers Addendum Stripe. |
Lagaheimildir
- CNIL -- vinnsluaðili, skyldur skv. 28. gr. GDPR: cnil.fr/fr/sous-traitant
- Reglugerð (ESB) 2016/679 (GDPR), 4., 9., 12.-22., 28. og 32.-36. gr.: EUR-Lex CELEX:32016R0679
- NIS2-tilskipun (ESB) 2022/2555, 21. gr.: EUR-Lex CELEX:32022L2555
- DORA-reglugerð (ESB) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Leiðbeiningar um upplýsingatæknihreinlæti: ssi.gouv.fr
- Lög nr. 78-17 frá 6. janúar 1978, með breytingum: Légifrance